accesskey_mod_content

Recomendaciones de seguridad en el desarrollo de aplicaciones

  • Escuchar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".

27 febrero 2023

El CCN-CERT ha publicado un nuevo abstract sobre las lecciones aprendidas y las recomendaciones para el desarrollo seguro de aplicaciones que cubre todo su ciclo de vida

El Centro Criptológico Nacional(Abre en nueva ventana)  CCN) ha publicado el nuevo abstract “Lecciones aprendidas y recomendaciones de seguridad en el desarrollo de aplicaciones”(Abre en nueva ventana)  para aplicar ciberseguridad en todo el ciclo de vida de las mismas.

La ciberseguridad consiste en la protección de sistemas, redes y datos contra el acceso no autorizado, el uso indebido y/o disrupción de servicios y otros tipos de amenazas. Su objetivo es no solo aplicar diferentes sistemas de seguridad a fin de prevenir y contrarrestar dichos ataques, sino también educar y capacitar a los usuarios sobre cómo evitar riesgos innecesarios.

Con el fin de detectar, eliminar y/o mitigar las debilidades de una aplicación se pueden realizar diversos análisis de seguridad en diferentes fases del ciclo de vida del desarrollo de software: análisis estático del código fuente, análisis de los componentes y librerías y análisis dinámico de la aplicación en un entorno pre-productivo.

El presente documento está organizado en diversos capítulos en los que se tratan las vulnerabilidades y amenazas, el desarrollo seguro de aplicaciones, así como los principales retos y oportunidades en esta materia.

Lecciones aprendidas y recomendaciones de seguridad en el desarrollo de aplicaciones

Los estándares de seguridad del software seguro son guías desarrolladas por gobiernos, instituciones u organizaciones que permiten medir y evaluar el grado de cumplimiento de un sistema respecto los requisitos de la propia guía con el fin de garantizar la seguridad del software en un contexto determinado. Algunos estándares de seguridad los tenemos en ENS, PCI-DSS o NIST.

Los modelos de madurez de desarrollo del software seguro proporcionan un marco de organizado de requisitos de seguridad cuyo nivel de cumplimiento permite evaluar la posición de madurez de la implementación de la seguridad en: una aplicación, un proyecto o una organización. Los modelos de madurez más utilizados son: OWASP SAMM, ISO 33000. Las organizaciones que aplican metodologías de desarrollo seguro ven reducidos de manera significativa sus costes de gestión de la configuración y de respuesta a incidentes en un 75%.

Desde este punto de vista, si la incorporación de la seguridad sólo se realiza en las fases avanzadas del ciclo de vida del desarrollo de las aplicaciones, sigue existiendo un elevado riesgo, un mayor coste de remediación y una disminución de la productividad, es decir, a medida que avanzamos en el ciclo de vida del desarrollo, la introducción de controles de seguridad y remediación de errores se vuelven cada vez más costosos [3] [4] [5]. Esto supone una dedicación de esfuerzos cada vez mayores por parte del equipo de desarrollo, lo que degrada su productividad e implica la asunción de riesgos mayores por parte de la dirección del proyecto. Actualmente existe un sólido respaldo en cuanto a entidades y organizaciones responsables del desarrollo de los estándares y buenas prácticas de seguridad, como pueden ser OWASP, NIST, MITRE, ISO, etc

Las consecuencias que conlleva no aplicar suficientes controles de seguridad en las aplicaciones

Las consecuencias que conlleva no aplicar suficientes controles de seguridad en las aplicaciones son graves, múltiples y de distinta naturaleza, y casi siempre implican pérdidas económicas y/o daños que afectan muy negativamente a la imagen de la organización. Algunas de las más comunes son:

  • Pérdida o robo de información sensible o personal, como números de tarjetas de crédito, contraseñas, información de identificación personal, etc. que conllevan juicios y multas en daños y reparaciones, así como una importante pérdida de imagen comercial.
  • Interrupción de los servicios mediante ataques DDoS causando pérdida de ingresos, clientes insatisfechos y daños en la reputación.
  • Violación de cumplimiento normativo que es causa de sanciones y multas.
  • Dificultad para obtener seguros de responsabilidad civil al considerarse que la ausencia de medidas de seguridad adecuadas aumenta el riesgo de incidentes.
  • Pérdida de competitividad en el mercado. Los clientes y proveedores buscan trabajar con organizaciones que dispongan de una buena postura de seguridad.
  • Daño en los sistemas y servicios que requirieran altos costes en reparaciones y recuperaciones de la integridad.
  • Riesgo de extorsión. Puede requerir altos pagos de rescate para recuperar los datos o para evitar la divulgación de información sensible.

Fuente original de la noticia(Abre en nueva ventana)

  • Seguridad y Protección de Datos